信息安全概述
信息安全标准介绍BS7799
•• 信息安全管理概述信息安全管理概述
•• BS7799BS7799标准简介标准简介
•• 信息安全管理实施细则信息安全管理实施细则
•• 信息安全管理体系规范信息安全管理体系规范
•• BS7799BS7799认证过程认证过程
•• BS7799BS7799总结展望总结展望
•• 其它安全标准其它安全标准
信息安全的CIA目标
保护信息保护信息
的保密性、完的保密性、完
整性和可用性整性和可用性
—— BS7799
信息安全管理概述
ConfidentialityConfidentiality
IntegrityIntegrity
AvailabilityAvailability
InformationInformation
组织的信息安全需求
法律法规与合同条约的要求:
• 有关信息安全的法律法规是对组织的强制性要求,组织应该将适用于组织的法律法规转化为组织
的信息安全要求。
• 计算机信息系统安全保护条例,知识产权保护,互联网安全管理规定……
• 考虑业务合作者和客户对组织提出的信息安全要求,包括合同要求、招标条件和承诺。
组织的原则、目标和规定:
• 组织为业务正常运作所特别制定的原则、目标及信息处理的规定。
• 加强内部管理的要求。
风险评估的结果:
• 安全控制要求应针对每项资产所面临的威胁、存在的弱点、产生的潜在影响和发生的可能性等综
合因素来分析确定。
• 这是信息安全管理的基础。
信息安全管理概述
信息安全管理概述
信息安全的成败取决于两个因素:技术和管理。
安全技术是信息安全的构筑材料,安全管理是真正的粘合剂和催化剂。
人们常说,三分技术,七分管理,可见管理对信息安全的重要性。
信息安全管理(Information Security Management)作为组织完整的管理体系
中一个重要的环节,它构成了信息安全具有能动性的部分,是指导和控制组织的
关于信息安全风险的相互协调的活动,其针对对象就是组织的信息资产。
现实世界里大多数安全事件的发生和安全隐患的存在,与其说是技术上的原因,
不如说是管理不善造成的,理解并重视管理对于信息安全的关键作用,对于真正
实现信息安全目标来说尤其重要。
信息安全管理的核心就是风险管理。
信息安全管理
BS7799的安全观
技术和产品是基础,管理才是关键
产品和技术,要通过管理的组织职能才能发挥最佳作用
技术不高但管理良好的系统远比技术高超但管理混乱的系统安全
先进、易于理解、方便操作的安全策略对信息安全至关重要
建立一个管理框架,让好的安全策略在这个框架内可重复实施,并不断得到修
正,就会拥有持续安全
根本上说,信息安全是个管理过程,而不是技术过程
信息安全管理概述
威胁 漏洞
安全控制 安全风险 资产
安全需求 资产价值和
潜在影响
抵
御
利用
增
加
增
加
暴
露
拥
有
增
加
需
要
减少
满
足
信息安全管理诸要素
Access
Controls
Asset
Classification
Controls
Information
Security Policy Security
Organisation
Personnel
Security
Physical
Security
System
Development
Continuity
Planning
Compliance
Communications
Management
信息安全管理概述
BS7799信息安全管理的内容
Info security Incident
management
基于风险分析的安全管理方法
信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动。
• 制定信息安全策略方针
• 风险评估和管理
• 控制目标和方式选择
• 风险控制和处理
• 安全保证
信息安全策略方针为信息安全管理提供导向和支持。
控制目标与控制方式的选择应该建立在风险评估的基础上。
考虑控制成本与风险平衡的原则,将风险降低到组织可接受的水平。
需要全员参与。
遵循管理的一般模式——PDCA模型。
信息安全管理概述
PDCA信息安全管理模型
根据风险评估结果、法律法根据风险评估结果、法律法
规要求、组织业务运作自身需要规要求、组织业务运作自身需要
来确定控制目标与控制措施。来确定控制目标与控制措施。
实施所选的安全控制措施。实施所选的安全控制措施。
针对检查结果采取应针对检查结果采取应
对措施,改进安全状况。对措施,改进安全状况。
依据策略、程序、标准依据策略、程序、标准
和法律法规,对安全措施的和法律法规,对安全措施的
实施情况进行符合性检查。实施情况进行符合性检查。
信息安全管理概述
•• 信息安全管理概述信息安全管理概述
•• BS7799BS7799标准简介标准简介
•• 信息安全管理实施细则信息安全管理实施细则
•• 信息安全管理体系规范信息安全管理体系规范
•• BS7799BS7799认证过程认证过程
•• BS7799BS7799总结展望总结展望
•• 其它安全标准其它安全标准
英国标准协会(BSI)
英国标准学会(British Standards Institution,BSI)
著名的ISO9000、ISO14000、ISO17799/BS7799等标准的编写机构
英国标准学会(BSI)是世界上最早的全国性标准化机构,它受政府控制但得
到了政府的大力支持。 BSI不断发展自己的工作队伍,完善自己的工作机构和体
制, 把标准化和质量管理以及对外贸易紧密结合起来开展工作
BSIBSI的宗旨:的宗旨:
1. 1. 为增产节约努力协调生产者和用户之间的关系,促进生产,为增产节约努力协调生产者和用户之间的关系,促进生产, 达到标准化(包括简化)达到标准化(包括简化)
2. 2. 制定和修订英国标准,并促进其贯彻执行制定和修订英国标准,并促进其贯彻执行
3. 3. 以学会名义,对各种标志进行登记,并颁发许可证以学会名义,对各种标志进行登记,并颁发许可证
4. 4. 必要时采取各种行动,保护学会利益必要时采取各种行动,保护学会利益
BS7799标准简介
BS7799标准简介
什么是BS 7799?
英国标准协会
(British Standards
Institute,BSI)制定的
信息安全标准。
由信息安全方面的
最佳惯例组成的一套全
面的控制集。
信息安全管理方面
最受推崇的国际标准。
BS 7799的目的
"为信息安全管理提供建议,供那些在其机构
中负有安全责任的人使用。它旨在为一个机构提
供用来制定安全标准、实施有效的安全管理时的
通用要素,并得以使跨机构的交易得到互信"。
BS7799标准简介
BS7799标准简介
BS 7799的历史沿革
1990年代初 —— 英国贸工部(DTI)成立工作组,立项开发一套可供开发、
实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。
1993年9月 —— 颁布《信息安全管理实施细则》,形成BS 7799的基础。
1995年2月 —— 首次出版BS 7799-1:1995《信息安全管理实施细则》。
1998年2月 —— 英国公布BS 7799-2:《信息安全管理体系规范》。
1999年4月 —— BS 7799-1与BS 7799-2修订后重新发布。
2000年12月 —— 国际标准组织 ISO/IEC JTC 1/SC27工作组认可通过BS
7799-1,颁布ISO/IEC 17799-1:2000《信息技术——信息安全管理实施细则》。
2002年9月 —— BSI对BS 7799-2进行了改版,用来替代原标准(BS 7799-
2:1999)使用,并可望通过ISO组织认可。
ISO27001:2005 ——建立信息安全管理体系(ISMS)的一套规范
(Specification for Information Security Management Systems),其中详细说明
了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评
估标准 。
BS7799Part1BS7799Part1BS7799BS7799
1995 1999 2000 2002 2005 2007
ISO/IEC17799ISO/IEC17799
JISQ27002JISQ27002
● ● ● ● ● ●
ISO/IEC17799ISO/IEC17799
JISX5080JISX5080
ISO/IEC27001ISO/IEC27001
2005 version
2000 version
2005/06
2005-2006
2006
●
BS7799Part2BS7799Part2
JISQ27001JISQ27001
2005-2006
2005-2006
BS7799标准简介
BS 7799的历史沿革
BS7799标准简介
BS 7799的发展现状
BS 7799简介
BS 7799(老版)的内容
第一部分是信息安全管理实施细则(Code of Practice for Information Security
Management),在10个标题中定义了127项安全控制:
第二部分是建立信息安全管理系统(ISMS)的一套规范(Specification for
Information Security Management Systems),详细说明了建立、实施和维护信
息安全管理系统的要求,指出实施机构应该遵循的风险评估标准。
安全策略安全策略 Security policySecurity policy
安全组织安全组织 Security organisationSecurity organisation
资产分类与控制资产分类与控制 Asset classification & controlAsset classification & control
人员安全人员安全
Personnel Personnel
securitysecurity
物理与环境安全物理与环境安全
Physical & Physical &
environmental securityenvironmental security
通信与操作管理通信与操作管理
Communications & Communications &
operations operations
managementmanagement
系统开发与维护系统开发与维护
Systems development Systems development
& maintenance& maintenance
访问控制访问控制 Access controlAccess control
业务连续性管理业务连续性管理 Business continuity managementBusiness continuity management
符合性符合性 ComplianceCompliance
BS 7799简介
BS 7799新版已经出台
ISO17799:2005ISO17799:2005
从从1010个域变到个域变到1111个域,增加了个域,增加了““信息安全事件管理信息安全事件管理””
去掉了去掉了99项控制,增加了项控制,增加了1717项控制,一共有项控制,一共有133133项控制项控制
加强了对人员离职、移动通信、软件漏洞和补丁管理的控制要求加强了对人员离职、移动通信、软件漏洞和补丁管理的控制要求
BS7799-2:2002 BS7799-2:2002 ISO27001:2005 ISO27001:2005(略做修改)(略做修改)
附录引向附录引向ISO17799:2005ISO17799:2005
原来的条款原来的条款66(管理评审)分成现在的(管理评审)分成现在的66(内审)、(内审)、77(管理评审)两个部分(管理评审)两个部分
ISO17799:2000 ISO17799:2000 GB/T 19716:2005 GB/T 19716:2005
安全策略安全策略 Security policySecurity policy
人力资源安全人力资源安全
Human Human
resource resource
securitysecurity
物理与环境安全物理与环境安全
Physical and Physical and
environmental environmental
securitysecurity
通信与操作管理通信与操作管理
Communications Communications
and operations and operations
managementmanagement
信息系统获取、开发信息系统获取、开发
和维护和维护
Information Information
systems systems
acquisition, acquisition,
development and development and
maintenancemaintenance
信息安全组织信息安全组织 Organization of information securityOrganization of information security
资产管理资产管理 Asset managementAsset management
访问控制访问控制 Access controlAccess control
信息安全事件管理信息安全事件管理 Information security incident managementInformation security incident management
业务连续性管理业务连续性管理 Business continuity managementBusiness continuity management
符合性符合性 ComplianceCompliance
BS 7799简介
ISO 17799:2005内容框架
其他类似或相关文档
BSI DISC提供了一组关于BS 7799的系列指导文件(PD3000系列):
• PD 3001 – Preparing for BS7799 Certification
• PD 3002 – Guide to Risk Assessment and Risk Management
• PD 3003 – “Are you ready for a BS7799 Audit?”
• PD 3004 – Guide to BS7799 Auditing
• PD 3005 – Guide to the selection of BS7799 controls
澳大利亚和新西兰等同采用BS7799,发布了AS/NZS 4444(后来,根据
ISO/IEC 17799:2000颁布了AS/NZS ISO/IEC 17799:2001,根据BS7799-2:2002
又颁布了AS/NZS :2003),此外,他们也有自己的信息安全管理标准,即
AS/NZS 4360。
ISO/IEC TR 13335,即IT安全管理指南(Guidelines for the Management of
IT Security,GMITS),分5个部分。是信息安全管理方面的指导性标准,专注于
IT领域,并不用于审计和认证。
ISO/TR 13569,银行和相关金融服务信息安全指南。
BS7799标准简介
•• 信息安全管理概述信息安全管理概述
•• BS7799BS7799标准简介标准简介
•• 信息安全管理实施细则信息安全管理实施细则
•• 信息安全管理体系规范信息安全管理体系规范
•• BS7799BS7799认证过程认证过程
•• BS7799BS7799总结展望总结展望
•• 其它安全标准其它安全标准
Part 1Part 1 – – 提供一套由提供一套由
最佳惯例构成的安全控最佳惯例构成的安全控
制,涉及制,涉及1111个方面,包个方面,包
括括3939个控制目标和个控制目标和133133项项
控制措施,可作为参考控制措施,可作为参考
文件使用,但并不是认文件使用,但并不是认
证评审的依据。证评审的依据。
BS 7799-ISO17799:
2005
•• 信息安全策略信息安全策略
•• 安全组织安全组织
•• 资产分类和控制资产分类和控制
•• 人员安全人员安全
•• 物理和环境安全物理和环境安全
•• 通信和操作管理通信和操作管理
•• 访问控制访问控制
•• 系统获得、开发和维护系统获得、开发和维护
•• 信息安全事件管理信息安全事件管理
•• 业务连续性管理业务连续性管理
•• 依从性依从性
信息安全管理实施细则
1111个方面个方面 3939个目标个目标 133133个控制措施个控制措施
信息安全管理实施细则
ISO17799:2005
前言
简介
什么是信息安全 (信息是一种资产,有多种存在形式,应该通过有效控制加以保护)
为什么需要信息安全
如何建立安全需求 (安全需求的三个来源)
评估安全风险 (安全需求经过系统地评估安全风险而得到确认 )
选择控制 (安全控制可以从7799或其它有关标准选择,也可以自己设计满足特定要求的控制 )
信息安全起点 (基于法律要求和信息安全最佳实践来选择控制措施)
关键的成功因素
开发你自己的指南
1 范围
2 术语和定义
1 定义
3 本标准的结构
条款
主安全目录
4 风险评估和处理
评估安全风险
处理安全风险
信息安全管理实施细则
5. 信息安全策略
目标:
•信息安全策略——为信息安全提供与业务需求和法律法规相一致的管理指示及支持
安全策略应该做到:
• 对信息安全加以定义
• 陈述管理层的意图
• 分派责任
• 约定信息安全管理的范围
• 对特定的原则、标准和遵守要求进行说明
• 对报告可疑安全事件的过程进行说明
• 定义用以维护策略的复查过程
信息安全管理实施细则
信息安全管理实施细则
6. 安全组织
目标:
• 信息安全基础设施——在组织内部管理信息安全
• 外部组织——保持组织的被外部组织访问、处理、沟通或管理的信息及信息处理设备的安全
包含的内容:
• 建立管理委员会,定义安全管理的角色和责任
• 对软硬件的采购建立授权过程
•与第三方签订的协议中应覆盖所有相关的安全要求。
• 外包合同中的安全需求
•包括内部组织和外部伙伴
信息安全管理实施细则
7. 资产管理
目标:
•资产责任——实现并保持组织资产的适当保护
•信息分类——确保对信息资产的保护达到恰当的水平
包含的内容:
• 组织可以根据业务运作流程和信息系统拓扑结构来识别信息资产。
• 按照信息资产所属系统或所在部门列出资产清单。
• 所有的信息资产都应该具有指定的属主并且可以被追溯责任。
• 信息应该被分类,以标明其需求、优先级和保护程度。
• 根据组织采用的分类方案,为信息标注和处理定义一套合适的程序。
Top Secret
Secret
Confidential
Restricted
信息安全管理实施细则
8. 人力资源安全
目标:
• 雇佣前——确保员工、合同访和第三方用户了解他们的责任并适合于他们所考虑的角色,减少盗
窃、滥用或设施误用的风险。
• 雇佣中——确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和
义务,并在他们的日常工作中支持组织的信息安全方针,减少人为错误的风险。
• 解聘和变更——确保员工、合同方和第三方用户离开组织或变更雇佣关系时以一种有序的方式进
行。
包含的内容:
• 故意或者无意的人为活动可能给数据和系统造成风险
• 在正式的工作描述中建立安全责任,员工入职审查
信息安全管理实施细则
9. 物理和环境安全
目标:
• 安全区域——防止非授权访问、破坏和干扰业务运行的前提条件及信息。
• 设备安全——预防资产的丢失、损坏或被盗,以及对组织业务活动的干扰。
包含的内容:
• 应该建立带有物理入口控制的安全区域
• 应该配备物理保护的硬件设备
• 应该防止网络电缆被塔线窃听
• 将设备搬离场所,或者准备报废时,应考虑其安全
信息安全管理实施细则
10. 通信和操作管理
目标:
• 操作程序和责任——确保信息处理设施的正确和安全操作。
• 第三方服务交付管理——实施并保持信息安全的适当水平,确保第三方交付的服务符合协议要求。
• 系统规划与验收——减少系统失效带来的风险。
• 防范恶意代码和移动代码——保护软件和信息的完整性。
• 备份——保持信息和信息处理设施的完整性和可用性
• 网络安全管理——确保对网络中信息和支持性基础设施的安全保护。
• 介质处理和安全——防止对资产的未授权泄漏、修改、移动或损坏,及对业务活动的干扰。
• 信息和软件的交换——应保持组织内部或组织与外部组织之间交换信息和软件的安全。
• 电子商务服务 ——确保电子商务的安全及他们的安全使用。
•监督——检测未经授权的信息处理活动。
包含的内容:
• 防病毒,防恶意软件
• 进行变更控制
• 做好备份,存储介质的安全处理,保存正确的访问日志,系统文件的安全性
• 电子邮件安全性
• 保护传输中的数据
信息安全管理实施细则
11. 访问控制
目标:
• 访问控制的业务需求——控制对信息的访问。
• 用户访问管理——确保授权用户的访问,并预防信息系统的非授权访问。
• 用户责任——预防未授权用户的访问,信息和信息处理设施的破坏或被盗。
• 网络访问控制——防止对网络服务未经授权的访问。
• 操作系统访问控制——防止对操作系统的未授权访问。
• 应用访问控制——防止对应用系统中信息的未授权访问。
• 移动计算和远程工作——确保在使用移动计算和远程工作设施时信息的安全。
包含的内容:
• 口令的正确使用
• 对终端的物理访问
• 自动终止时间
• 软件监视等
信息安全管理实施细则
12. 系统获得、开发与维护
目标:
• 系统的安全需求——确保安全内建于信息系统中。
• 应用系统的安全——防止应用系统信息的错误、丢失、未授权的修改或误用。
• 加密控制——通过加密手段来保护细腻的保密性、真实性或完整性。
• 系统文件的安全——确保系统文档的安全。
• 开发和支持过程的安全——保持应用系统软件和信息的安全。
•技术漏洞管理——减少由利用公开的技术漏洞带来的风险。
包含的内容:
• 在系统设计时应该考虑输入数据校验、数据加密、数据文件的安全性、测试数据的保护
• 软件开发和维护中应该建立配置管理、变更控制等机制
信息安全管理实施细则
13. 信息安全事件管理
目标:
•报告信息安全事件和弱点——确保与信息系统有关的安全事件和弱点的沟通
能够及时采取纠正措施。
•信息安全事故的管理和改进——确保使用持续有效的方法管理信息安全事故。
包含的内容:
•正常的事件报告和分类程序,这类程序用来报告可能对机构的财产安全造成
影响的不同种类的事件和弱点
•所有的员工、合同方和第三方用户都应该知晓这套报告程序。
•要求员工需要尽可能快地将信息安全事件和弱点报告给指定的联系方。
信息安全管理实施细则
14. 业务连续性管理
目标:
•业务连续性管理的信息安全方面——:防止业务活动的中断,保护关键业务
流程不会受信息系统重大失效或自然灾害的影响,并确保他们的及时恢复。
包含的内容:
• 全面理解业务连续性计划(BCP)
• 理解组织面临的风险,识别关键业务活动和优先次序。
• 确认可能对业务造成影响的中断。
• 应该设计、实施、测试和维护BCP
信息安全管理实施细则
15. 符合性
目标:
•与法律法规要求的符合性——避免违反法律、法规、规章、合同要求和其他的安全要求。
•符合安全方针、标准,技术符合性——确保系统符合组织安全方针和标准。
•信息系统审核的考虑因素——最大化信息系统审核的有效性,最小化来自/对信息系统审核的影响。
包含的内容:
• 组织应该确保遵守相关的法律法规和合同义务
• 软件版权,知识产权等
信息安全管理实施细则
BS7799认证最基本的控制项
与法律相关的控制措施:
• 知识产权(Intellectual Property Rights):防止非拥有者授权的复制,避免侵犯知识产权
• 保护组织的记录:保护重要的记录不丢失、破坏和伪造
• 数据保护和个人信息隐私:遵守所在国的数据保护法律
与最佳惯例相关的控制措施:
• 信息安全策略文件:为信息安全提供管理方向和支持
• 信息安全责任的分配:分派安全责任,使信息安全在组织内部得以有效管理
• 信息安全教育和培训:保证用户有信息安全威胁意识、关心信息安全并支持组织信息安全策略
• 报告安全事件:最大程度减小安全事件和故障造成的破坏,监视事件,从中吸取教训
• 业务连续性管理:减少业务活动中断,保护关键业务过程不受重大事件或灾难影响
•• 信息安全管理概述信息安全管理概述
•• BS7799BS7799标准简介标准简介
•• 信息安全管理实施细则信息安全管理实施细则
•• 信息安全管理体系规范信息安全管理体系规范
•• BS7799BS7799认证过程认证过程
•• BS7799BS7799总结展望总结展望
•• 其它安全标准其它安全标准
信息安全管理体系规范
Part Part 22 – – 包含用于审包含用于审
计的需求规范,可形成计的需求规范,可形成
度量组织度量组织ISMSISMS的基准。的基准。
BS 7799-ISO27001
•• 解释标准的作用和所解释标准的作用和所
用的定义用的定义
•• 解释相关术语解释相关术语
•• 解释建立和维护文档解释建立和维护文档
化的化的ISMSISMS的要求的要求
•• 列举可用的控制和控列举可用的控制和控
制目标制目标
•• 是依照是依照BS 7799BS 7799对组对组
织的织的ISMSISMS进行评估进行评估
认证的基础认证的基础
信息安全管理体系规范
BS7799-2简介
BS 7799标准对信息安全管理体系(ISMS)并没有一个明确的定义,可以将
其理解为组织管理体系的一部分。
ISMS涉及到的内容:用于组织信息资产风险管理、确保组织信息安全的、包
括为制定、实施、评审和维护信息安全策略所需的组织机构、目标、职责、程序、
过程和资源。
标准要求的ISMS建立过程:制定信息安全策略,确定体系范围,明确管理职
责,通过风险评估确定控制目标和控制方式。
体系一旦建立,组织应该按规定要求进行运作,保持体系的有效性。
ISMS应形成一定的文档,包括策略、适用性声明文件和实施安全控制所需的
程序文件。
一个文档化的ISMS应该阐述:要保护的资产,组织进行风险管理的途径,控
制目标和控制方式,需要的保障程度。
建立ISMS管理框架的过程
定义安全策略定义安全策略
威胁、弱点、影响
组织风险管理的途径
要求达到的保障程度
BS7799-2第三段列出
的控制目标和控制
不在BS7799范围内的
其他安全控制
Step 1Step 1
Step 2Step 2
Step 3Step 3
Step 4Step 4
Step 5Step 5
Step 6Step 6
策略文档
ISMS的范围
风险评估
适用性声明
信息资产
结果和结论
选定的控制选项
选择的控制目标和控制
定义定义ISMSISMS范围范围
进行风险评估进行风险评估
管理风险管理风险
选择控制目标和选择控制目标和
控制并加以实施控制并加以实施
准备适用性声明准备适用性声明
信息安全管理体系规范
ISO 17799
People
CISO
Security ISO SSO
Security
Organisation
Procedures
Incident
Handling
Incident
Reporting
Disaster
Recovery
Risk
Assessment
Business
Continuity Plan
Policies
Security
Policy
信息安全管理体系规范
BS7799的输出结果
ISMS的文档体系
Procedures
程序
Work Instructions,
checklists, forms, etc.
工作指导书,检查清单,表格等
Records
纪录
Security Manual
安全手册Policy, scope
risk assessment,
statement of applicability
Describes processes who,
what, when, where.
Describes how tasks and specific
activities are done
Provides objective evidence of compliance to
ISMS requirements
第一级
关于BS7799的管理
框架的方针策略
第二级
第三级
第四级
信息安全管理体系规范
为了与诸如为了与诸如ISO 9000ISO 9000和和ISO ISO
1400114001这样的管理体系标准保持这样的管理体系标准保持
一致,也为了引入一致,也为了引入PDCAPDCA模型,以模型,以
便建立、实施、维护和持续改进便建立、实施、维护和持续改进
组织的信息安全管理体系,组织的信息安全管理体系,20022002
年年99月月55日,日,BS 7799-2:2002BS 7799-2:2002草案草案
经过广泛的讨论,终于发布成为经过广泛的讨论,终于发布成为
正式标准,与此同时,正式标准,与此同时,BS 7799-BS 7799-
2:19992:1999被废止。被废止。
信息安全管理体系规范
BS7799-2新版本的特点
引入了PDCA模型。与其他管理体系标准保持协调关系。
基于PDCA模型的信息安全管理过程方法。
对风险评估过程、控制选择和适用性声明内容之间的联系予以澄清,在定义上
也有改进。
附录中提供了对此新版本使用的指南。
附录中还列举了BS 7799-2:2002、ISO 9001:2000和ISO 14001:1996之间的一
致性。
信息安全管理体系规范
建立ISMS环
境&风险评估
设计&实施
ISMS
监视&复审
ISMS
改进ISMS开发、维护和开发、维护和
改进生命周期改进生命周期
PlanPlan
DoDo
CheckCheck
ActAct
利益伙伴利益伙伴
信息安全需信息安全需
求和期望求和期望
利益伙伴利益伙伴
得到管理的得到管理的
信息安全信息安全
PDCA模型在ISMS过程中的运用
信息安全管理体系规范
建立ISMS(Plan)
定义ISMS的范围(从业务、组织、位置、资产和技术等方面考虑)
定义ISMS策略
定义系统的风险评估途径
识别风险
评估风险
识别并评价风险处理措施
选择用于风险处理的控制目标和控制
准备适用性声明(SoA)
取得管理层对残留风险的承认和实施并操作ISMS的授权
信息安全管理体系规范
实施和操作ISMS(Do)
制定风险处理计划(Risk Treatment Plan)
实施风险处理计划
实施所选的控制措施以满足控制目标
实施培训和意识程序
管理操作
管理资源
实施能够激发安全事件检测和响应的程序和控制
信息安全管理体系规范
信息安全管理体系规范
监视和复审ISMS(Check)
执行监视程序和控制
对ISMS的效力进行定期复审(看其是否满足安全策略和目标,安全控制是否
有效)
复审残留风险和可接受风险的水平,考虑到各种变化情况
按照预定计划进行内部ISMS审计
定期对ISMS进行管理复审
记录活动和事件可能对ISMS的效力或执行力度造成影响
信息安全管理体系规范
维护和改进ISMS(Act)
对ISMS实施可识别的改进
采取恰当的纠正和预防措施
与所有利益伙伴沟通
确保改进成果满足其预期目标
•• 信息安全管理概述信息安全管理概述
•• BS7799BS7799标准简介标准简介
•• 信息安全管理实施细则信息安全管理实施细则
•• 信息安全管理体系规范信息安全管理体系规范
•• BS7799BS7799认证过程认证过程
•• BS7799BS7799总结展望总结展望
•• 其它安全标准其它安全标准
BS7799认证过程
通过BS 7799认证的好处
依据BS 7799-2对组织的信息安全管理体系(ISMS)进行认证,可以证明组织
已经遵照BS 7799-2标准的要求实施了信息安全管理的体系。
帮助组织获得最佳的信息安全运作方式。
保证业务活动的安全。
降低风险,避免损失。
保持核心竞争优势。
提高组织在商业活动中的信誉。
满足客户的要求。
保证可持续发展。
符合法律法规的要求。
认证过程
选择受认可的认证机构
Phase1:文档审核
Phase2:现场审查
维持认证
组织应该向认证机构提供必要的信息
复审风险评估文档、安全策略和适用性声明
复审ISMS的其他文档
ISMS的实施情况
风险管理决策的基础
组织被授予证书后,审核组每年都会对其ISMS
符合性进行检查。证书三年有效,之后需要再次
认证。组织必须向认证机构通报任何变化。
预审(Pre-assessment) 可选
BS7799认证过程
BS7799认证过程
BS7799认证过程
成功的关键因素
安全策略、目标和活动应该反映业务目标
实施信息安全的方法应该与组织的文化保持一致
来自高级管理层的明确的支持和承诺
深刻理解安全需求、风险评估和风险管理
向所有管理者和员工有效地推广安全意识
分发信息安全策略、指南和标准给所有员工及签约人
提供适当的培训和教育
建立完整而平衡地测量体系,用来评估信息安全管理体系的表现,提供改进的
反馈建议
•• 信息安全管理概述信息安全管理概述
•• BS7799BS7799标准简介标准简介
•• 信息安全管理实施细则信息安全管理实施细则
•• 信息安全管理体系规范信息安全管理体系规范
•• BS7799BS7799认证过程认证过程
•• BS7799BS7799总结展望总结展望
•• 其它安全标准其它安全标准
BS7799总结展望
总结BS 7799的特点
BS 7799并不是系统安全评估的标准
• BS 7799从整体角度考虑,提出了构建ISMS的目标和方法,是构建ISMS的指南,但没有提供具
体的等级评价标准,并不能作为信息系统安全评估的依据,这和CC等其他评估标准是不同的
BS 7799针对的是信息安全管理,强调连续性,并以控制为手段
• 所有的安全控制手段都是为构建ISMS服务的
该标准告诉我们要做什么,但并不限定具体实现的方法和技术
• BS 7799提出了可供认证的ISMS(目标),而具体实现这一目标的某些活动,比如风险评估和控
制的选择,则可以参照ISO 13335这样的信息安全管理指南
属于风险管理的范畴
• ISMS是基于风险评估来建立的,经过了风险评估、风险管理和风险接受三个阶段,并且实现可用
性和安全性、投入和效益的平衡
体现了预防为主的思想,强调全过程和动态的控制
• 事先预防,将风险控制在可接受范围内,并且在ISMS的全过程中根据新情况调整,进行动态控制
BS7799总结展望
BS7799总结展望
B
S
7799
B
S
7799
认
证
的
发
展
趋
势
图
认
证
的
发
展
趋
势
图
20032003年年22月前月前 20042004年年55月前(新版本发布之后月前(新版本发布之后…………))
BS7799总结展望
最近,英国最近,英国Gamma Secure SystemsGamma Secure Systems组织了一次有组织了一次有673673家公司响应的调查,结果家公司响应的调查,结果
显示,有显示,有581581家正在寻求通过家正在寻求通过BS7799BS7799认证,这其中,只有认证,这其中,只有270270家已经建立了家已经建立了ISMSISMS。。
BS 7799的预期发展
据悉,从2002年6/7月开始,BS 7799的第三部分正在开发之中。
考虑到ISO 9000有4个部分,而BS 7799-2:2002又和ISO 9001:2000紧密相关,
所以,BS 7799的扩展也在情理之中。
BS 7799的第三部分可能会将焦点集中在ISMS的持续改进上,这和ISO 9004
是类似的。
其他方面也会涉及,包括ISMS审计和ISMS与其他管理体系的集成。
总之,BS 7799的重要性正被越来越多的政治家和工业领袖所承认。众多商业
机构,特别是欧洲和亚洲,都希望通过采用7799标准来提升自己在信息时代的生
存能力和竞争力。
BS7799总结展望
•• 信息安全管理概述信息安全管理概述
•• BS7799BS7799标准简介标准简介
•• 信息安全管理实施细则信息安全管理实施细则
•• 信息安全管理体系规范信息安全管理体系规范
•• BS7799BS7799认证过程认证过程
•• BS7799BS7799总结展望总结展望
•• 其它安全标准其它安全标准
Octave安全模型
• 具体项目实施,静态视图、动
态流程相结合
1-IT安全战略
3-信息资产分级
7-解决方案设计
10-安全标
准
11-安全流程、步骤
8-安全产品选择
13-安全运营与监测 15-安全技术评估14-安全管理评估
12-安全意识
培训
9-安全解决
方案实施
建设
实施
运营
4-安全策略
2-现状评估
Product
流程
作业
指南
架构
产品
建议
政策
安
全
标
准
原则
5-安全风险分析
6-安全需求
ISO15408安全模型
• ISO/IEC 15408-1 安全概念和关系模型
所 有 者
攻 击 者
对 策
漏 洞
风 险
威 胁 资 产
ISO13335以风险为核心的安全模型
风险风险安全措施安全措施 信息资产信息资产
威胁威胁 漏洞漏洞
安全需求安全需求
降低
增加 增加
利用
暴露
价值价值
拥有
抗击
增加
引出
被满足
Q&A